隨著我國社會和經(jīng)濟的高速發(fā)展，數(shù)字中國建設取得了巨大的成就，然而諸如“大數(shù)據(jù)殺熟”、“個人信息被濫用”等問題也悄然滋生。對此，我國一直在凝聚各方合力加強公民信息安全的保護，特別是2021年11月1日實施的《個人信息保護法》，既加強了個人信息的保護力度，也提高了違反個人信息保護行為的處罰力度。企業(yè)作為典型的個人信息處理者更應時刻自律，在人力資源管理等各項企業(yè)經(jīng)營管理中守住合規(guī)紅線。滴滴因其違法違規(guī)、跨越法律紅線被國家互聯(lián)網(wǎng)信息辦公室懲處這件事也警示著我們，企業(yè)人力資源管理中合規(guī)操作不僅是企業(yè)應盡的責任，也是必須履行的義務。

 

7月21日，國家互聯(lián)網(wǎng)信息辦公室依據(jù)《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》《行政處罰法》等法律法規(guī)，對滴滴全球股份有限公司處人民幣80.26億元罰款，對滴滴全球股份有限公司董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款。

 

經(jīng)查明，滴滴公司共存在16項違法事實，歸納起來主要是8個方面：(一) 違法收集用戶手機相冊中的截圖信息1196.39萬條；(二) 過度收集用戶剪切板信息、應用列表信息83.23億條；(三) 過度收集乘客人臉識別信息1.07億條、年齡段信息5350.92萬條、職業(yè)信息 1633.56萬條、親情關系信息138.29萬條、“家”和“公司”打車地址信息1.53億條；(四) 過度收集乘客評價代駕服務時、app后臺運行時、手機連接桔視記錄儀設備時的精準位置（經(jīng)緯度）信息1.67億條；(五) 過度收集司機學歷信息14.29萬條，以明文形式存儲司機身份證號信息5780.26萬條；(六) 在未明確告知乘客情況下分析乘客出行意圖信息539.76億條、常駐城市信息15.38億條、異地商務/異地旅游信息3.04億條；(七) 在乘客使用順風車服務時頻繁索取無關的“電話權限”(八) 未準確、清晰說明用戶設備信息等19項個人信息處理目的。

 

此前，網(wǎng)絡安全審查還發(fā)現(xiàn)，滴滴公司存在嚴重影響國家安全的數(shù)據(jù)處理活動，以及拒不履行監(jiān)管部門的明確要求，陽奉陰違、惡意逃避監(jiān)管等其他違法違規(guī)問題。滴滴公司違法違規(guī)運營給國家關鍵信息基礎設施安全和數(shù)據(jù)安全帶來嚴重安全風險隱患。因涉及國家安全，依法不公開。

 

《個人信息保護法》下，人力資源管理如何應對？

《個人信息保護法》的施行，給企業(yè)的人力資源管理提出了新的要求和挑戰(zhàn)，企業(yè)的用工管理與員工的個人信息密不可分，無論是員工入職前的簡歷篩選、招聘錄用、背景調查，還是入職后的員工日常管理、員工關系、薪酬福利、勞動合同、人事外包等等，個人信息的收集和處理幾乎貫穿了人力資源管理的所有環(huán)節(jié)。

值得注意的是，不合規(guī)行為可能給企業(yè)帶來高昂的后果，《個人信息保護法》規(guī)定，如果企業(yè)存在嚴重違法行為，將被處五千萬元以下或者上一年度營業(yè)額百分之五以下的罰款，并可能面臨停業(yè)整頓、吊銷營業(yè)執(zhí)照的懲罰。如果企業(yè)人力資源管理的個人信息處理不當，可能會給企業(yè)招致勞動爭議、聲譽受損，甚至更加嚴重的后果。

 

因此在《個人信息保護法》施行環(huán)境下，企業(yè)如何防范個人信息管理方面的風險，將成為企業(yè)人力資源管理的重中之重，每個企業(yè)都應該去學習和完善。對此，我們給出了一些建議：

 

首先 企業(yè)人力資源管理部門應該透徹分析法案的各項要求，以確定其對公司業(yè)務的影響，并對可能存在風險的操作和業(yè)務做出調整。同時，關注監(jiān)管部門的監(jiān)管動態(tài)，根據(jù)法律法規(guī)及監(jiān)管機構的要求對相關業(yè)務進行合規(guī)運營。

其次 企業(yè)人力資源管理部門可以建立合規(guī)中心，由合規(guī)中心制定內部管理制度、操作規(guī)則以及相關應急方案，還可以定期進行相關培訓以確保相關人員熟練掌握個人信息保護政策和企業(yè)最新管理制度。同時合規(guī)中心還可以組織定期合規(guī)審計，及時發(fā)現(xiàn)并規(guī)避風險，保障企業(yè)的合規(guī)運營。

 

在具體人力資源管理工作中，企業(yè)可以優(yōu)先從以下工作著手：①完善招聘環(huán)節(jié)中背景調查流程，務必要滿足告知-同意原則；②修訂并完善公司現(xiàn)有的勞動合同，將勞動合同模板中存在與《個人信息保護法》相悖的部分修改或者刪除，并增加部分新條款，以保證未來各項員工管理工作的合規(guī)；③規(guī)范對離職員工的個人信息處理方法；④對合作伙伴數(shù)據(jù)保護是否合規(guī)進行考察，特別是與第三方機構合作并涉及到員工個人信息時，一定要保證合作伙伴的規(guī)范性，以規(guī)避企業(yè)的相關風險；⑤對跨國合作伙伴或者跨國分部提供員工信息時，除了滿足告知-同意原則外，還需要查看信息是否需要國家網(wǎng)信部門的安全評估，如需要則應該以正確的態(tài)度對待并配合執(zhí)行。

 

最后 個人信息保護的合規(guī)不是一蹴而就的，而是一項長效的工作，因此企業(yè)應時刻自省，結合企業(yè)的實際情況，不斷完善和優(yōu)化管理制度和流程，以確保在未來的運營中保持長期合規(guī)。

 

---

 

大瀚對個人信息保護做了哪些努力？

 

作為一家有著23年人力資源服務經(jīng)驗的企業(yè)，大瀚一直以來都非常重視人力資源管理的合規(guī)操作，特別是對客戶、候選人及內部員工的個人信息保護上，我們有著完善的操作體系。同時，為了給客戶、候選人和員工更佳的服務體驗、更完備的個人信息安全保障，我們也在持續(xù)不斷地完善這個體系中，希望對大家有一定參考意義：

 

我們在公司的管理系統(tǒng)和業(yè)務系統(tǒng)中，對包括但不限于個人姓名、手機號碼、畢業(yè)院校、薪資水平等各類信息都設置了嚴格的查看權限并對相關信息進行脫敏處理，且禁用了批量下載、導出等具有潛在數(shù)據(jù)泄露風險的功能。

 

我們定期對信息系統(tǒng)的各項功能，尤其是涉及到個人信息及客戶信息的模塊進行全面的安全性測試與優(yōu)化。多年來，我們一直都以滿分水準保障信息安全，這是大瀚對候選人負責、對員工負責，更是對客戶的負責。

 

我們時刻關注法律法規(guī)，根據(jù)《個人信息保護法》的具體要求，積極開展業(yè)務流程和IT建設，利用創(chuàng)新技術與管理方式，持續(xù)優(yōu)化平臺和流程權限與功能，以保證客戶和員工的個人信息的合規(guī)。我們?yōu)榇俗龊昧顺浞譁蕚?，持續(xù)不斷的為客戶提供最優(yōu)質的服務，并確保合規(guī)。

 

總 結

 

隨著法律法規(guī)對個人信息保護的重視，公民的保護意識也逐步增強，對企業(yè)人力資源管理各個階段來說，確保合規(guī)操作，保障客戶、候選人和員工的信息安全。不僅能有效避免相關風險，還能建立良好的企業(yè)形象，與客戶建立穩(wěn)固的合作關系，同時也能吸引更多優(yōu)秀人才加入為企業(yè)賦能，進一步提高企業(yè)的市場競爭力和社會聲譽。

 

---

 

人力資管理中個人信息保護的小建議

 

一、候選人簡歷收集和使用

 

獵頭和HR通過招聘網(wǎng)站搜尋和第三方提供簡歷時，應當核實個人信息是否取得了當事人的單獨授權同意。為了進一步減少風險，可要求候選人另行發(fā)送一份簡歷或在招聘系統(tǒng)中填寫個人信息。

 

二、未成功入職候選人簡歷

 

根據(jù)最小必要原則，應該將未成功入職者的個人信息應及時刪除。如果需要暫時保存簡歷，需明確告知候選人并取得候選人明確的同意。為了防止由于遺忘而導致未取得同意的情況，可在簡歷收集階段就告知簡歷的處理方式并取得求職者同意。

 

三、背景調查

 

進行背景調查前可要求候選人簽署同意書或授權書。配合背調時可以幫助第三方核實當初員工離職證明上的信息，比如員工的姓名、身份證號碼、職位、勞動合同期限等。但除此以外的信息，比如對員工的一些主觀評價，績效這些不建議向第三方提及，因為這些信息違反了必要性原則，當然對方可出示相應的授權書除外。

 

四、入職信息收集

 

根據(jù)《個人信息保護法》第十三條規(guī)定，“為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需”的信息不需要取得當事人同意也可收集。然而，對于敏感個人信息還是需要取得同意才能搜集哦，而且搜集信息也不宜過度。

五、還應注意的其他情況

 

1. 應嚴格控制員工的權限，對各級員工能接觸的信息分級

2. 在內部規(guī)章制度中明確需要搜集的員工個人信息具體內容以及使用范圍3. 員工離職后可在一定時間內保存必要信息如姓名、住址、戶籍、聯(lián)系方式、績效表現(xiàn)、獎懲記錄、休假記錄等，但應馬上刪除為了考勤而設置的一些人臉、指紋識別等非必要信息。